Threat Intelligence

Cyber Threat Intelligence (CTI) begint een steeds belangrijkere pilaar te worden binnen een volwassen cybersecurity strategie. Indien goed toegepast kunnen security teams gebruik maken van Cyber Threat Intelligence om bescherming te bieden tegen de steeds ingewikkelder wordende dreigingen en tijdens en na een aanval. Door het bestuderen van aanvallers, hun doelen en hun strategieën kunnen organisaties een effectievere, meer verfijnde en meer robuuste verdediging bouwen.

De grootste uitdaging is om te begrijpen hoe threat intelligence kan worden ingezet om organisaties van verschillende groottes te ondersteunen om hun securityschild verder te versterken en om het besluitvormingsproces rondom informatiebeveiliging te versnellen. Met behulp van een slimmere en meer gerichte reactie op cyberdreigingen kunnen organisaties hun security resources veel efficiënter inzetten zodat ze pro-actief het hoofd kunnen bieden aan toekomstige aanvallen en cybercriminelen die van plan zijn in te breken ontmoedigen.

Er is natuurlijk geen ‘one-size fits all’ aanpak voor cyber security in zijn geheel en dit geldt net zo goed voor threat intelligence. Het is natuurlijk wel zo dat threat intelligence in informatie kan voorzien rondom de activiteit die kan leiden tot een aanval, de impact van een aanval kan beheersen en helpt om pro-actieve maatregelen te kunnen nemen om de organisatie en de infrastructuur te beschermen.

Threat intelligence ontstaat als threat data of threat information verzameld is, tegen vertrouwde, betrouwbare bronnen aangehouden is, verder verrijkt en verwerkt en ontleed is. Hierdoor ontstaat waardevolle Threat Intelligence waarmee kan worden gewerkt.

Intelligence houdt in dat de eindgebruiker dreigingen en verbeterpunten kan identificeren door gebruik te maken van accurate, relevante, en context-gebaseerde informatie. Door het wegnemen van de noodzaak om door duizenden alerts te gaan kunnen security teams hun eigen beperkte resources meer gericht inzetten en hun besluitvormingsproces versnellen.

Vanwege de buitengewoon tijdbesparende werkwijze, is dit waar threat intelligence leveranciers daadwerkelijk in beeld komen. Gebruikmakend van geautomatiseerde of handmatige correlatie wordt het voor interne teams mogelijk om gebruik te maken van door andere organisaties opgebouwde kennis om hen te helpen de meldingen en indicatoren verder te prioriteren.

In de basis kan threat intelligence worden onderverdeeld in twee verschillende onderdelen:

1. Threat intelligence die door machines kan worden gelezen. Hierdoor worden organisaties in staat gesteld om te werken met extreem verse informatie over Bot IP’s, crimeservers, aanvallers en TOR IP’s, malware en bijvoorbeeld activiteit van hacktivisten.
2. Een centraal punt dat op geautomatiseerde wijze alle verschillende threat intelligence bronnen bij elkaar kan brengen, analisten met elkaar samen kan laten werken door het delen van bijvoorbeeld informatie over ontlede malware en organisaties strategische threat intelligence kan bieden (ThreatQ).

De ThreatQ oplossing is een op open standaarden gebouwd, op alle denkbare manieren uitbreidbaar, threat intelligence platform dat zowel standaard als maatwerk integraties ondersteunt met zowel feeds als bestaande security systemen. Door middel van deze vele integraties kan het platform het aggregatieproces operationaliseren en het gebruik van threat intelligence over de hele infrastructuur verder automatiseren. Hierbij worden meerdere use cases ondersteund waardoor de effectiviteit van de security maatregelen wordt verhoogd en de algehele security operations processen worden versneld en verbeterd.

• Samenwerken – centraliseer het proces rondom het delen van threat intelligence, de analyse van de threat intelligence en het verder onderzoeken van de threat intelligence op één plek waar het gehele security team er toegang tot heeft;
• Integreren – verbeter de effectiviteit van de bestaande security infrastructuur door de middelen, teams en workflows met elkaar te integreren;
• Automatiseren – automatiseer de aggregatie, operationalisering en het gebruik van threat intelligence over alle systemen, netwerken en teams;
• Prioriteren – beoordeel en prioriteer automatisch de interne- en externe threat intelligence gebaseerd op de eigen parameters.

Het Threat Intelligence Management platform van ThreatQ gaat verder dan de gemiddelde platforms en ondersteunt onder andere de navolgende use cases:

• Theat Intelligence Management – maak threat intelligence van uw threat data door middel van het toevoegen van context en door het toepassen van prioriteiten gebaseerd op gebruikers gedefinieerde scoremodellen en beoordeling op basis van relevantie;
• Threat Hunting – breng uw teams in stelling om proactief te zoeken naar verdachte activiteiten die nog niet eerder geïdentificeerd zijn;
• Incident Response – verkrijg het inzicht in de tactieken van de aanvallers, hun technieken en procedures om de weerbaarheid te verhogen en de snelheid en dekking te vergroten;
• Spear Phishing – versimpel het proces van het parsen en analyseren van spear phish e-mails in het kader van preventie en response;
• Triage van alerts – verzamel enkel de voor uw organisatie relevante threat intelligence om de hoeveelheid alerts die onderzocht moeten worden verder te reduceren;
• Vulnerability Management - focus uw resources op het gebied waar het risico het grootst is en prioriteer kwetsbaarheden gebaseerd op de kennis over hoe misbruik kan worden gemaakt van deze kwetsbaarheden.